Zyxel Nebula Remote Access VPN - Jak skonfigurować IKEv2 IPsec Remote Access VPN?

Utworzono - Zaktualizowano
Serhii Boiarynov
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna informacja:
Drogi kliencie, pamiętaj, że korzystamy z tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności dotyczących dokładności informacji w przetłumaczonej wersji, prosimy o zapoznanie się z oryginalnym artykułem tutaj:Wersja oryginalna

Artykuł zawiera szczegółowy przewodnik dotyczący konfigurowania IKEv2 VPN w Nebula, w tym tworzenia użytkowników Nebula Cloud dla dostępu VPN i konfigurowania klienta SecuExtender. Przedstawia ograniczenia IKEv2, takie jak brak oficjalnego wsparcia dla kluczy wstępnych, i zawiera instrukcje krok po kroku dotyczące włączania serwera IPsec VPN, konfigurowania podsieci VPN klienta i konfigurowania opcji uwierzytelniania, takich jak uwierzytelnianie w chmurze Nebula, Active Directory i uwierzytelnianie dwuskładnikowe za pośrednictwem Google Authenticator. Artykuł obejmuje również tworzenie użytkowników VPN, wysyłanie plików konfiguracyjnych i weryfikację połączeń VPN, oferując wskazówki dotyczące rozwiązywania problemów i dodatkowe ustawienia w celu zwiększenia bezpieczeństwa.

Ten artykuł pomoże ci zrozumieć, co możesz zrobić z IKEv2 VPN w Nebula. Wyjaśniono w nim, jak skonfigurować IKEv2, utworzyć użytkowników Nebula Cloud dla dostępu VPN i skonfigurować klienta SecuExtender.

Ograniczenia IKEv2

Nebula obecnie oficjalnie nie obsługuje używania:

  • IKEv2 z kluczem wstępnym

Konfiguracja IKEv2 w Nebula

  • Włącz "serwer IPsec VPN" 
Go to  Site-wide -> Configure -> Firewall -> Remote access VPN
  • Włącz "Serwer IPsec VPN"
  • Wprowadź podsieć VPN klienta (jest to podsieć, którą otrzymają klienci VPN i NIE MOŻE pokrywać się z żadną inną podsiecią w organizacji Nebula ani zdalnymi podsieciami VPN (powinna być zapisana jako xx.xx.xx.xx/xx "np. 192.168.50.0/24").
  • Wybierz wersję IKEv2
  • W razie potrzeby podaj serwery nazw (serwery DNS) dla klientów VPN. Jeśli korzystasz z wewnętrznych serwerów DHCP/DNS, określ wewnętrzny serwer DNS i użyj Google DNS (8.8.8.8.8) jako drugiego wpisu serwera nazw. Ta konfiguracja pomaga zapobiegać potencjalnym problemom z DNS i komunikacją z klientami VPN.
  • Nebula Uwierzytelnianie w chmurze - używamy w naszym przykładzie. Alemasz opcje uwierzytelniania. Możesz wybrać uwierzytelnianie w chmurze Nebula, własny serwer Active Directory lub RADIUS, a nawet użyć uwierzytelniania dwuskładnikowego za pośrednictwem aplikacji Google Authenticator. Można to skonfigurować, włączając funkcję "uwierzytelniania dwuskładnikowego z Captive Portal". Gdy użytkownik połączy się z VPN, zostanie poproszony o zalogowanie się za pomocą Google Authenticator. Mogą również zarejestrować się w celu uwierzytelniania dwuskładnikowego za pośrednictwem wiadomości e-mail zawierającej dane logowania.
  • SecuExtender IKEv2 VPN configuration provision - Wybierz adresy e-mail, których chcesz użyć do wysłania pliku konfiguracyjnego VPN dla SecuExtender IKEv2 VPN (możesz tutaj dodawać i usuwać adresy e-mail, które nie zaczną obowiązywać, dopóki nie naciśniesz "Zapisz").
  • Kliknij "Zapisz"

  • Następnym krokiem jest zmiana "Polityki", w tym celu kliknij "Domyślne" i skonfiguruj ustawienia Fazy 1 i Fazy 2, jak poniżej (nie zapomnij zapisać ustawień, klikając przycisk "Zapisz"):
Phase 1
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: DH14, Lifetime (seconds): 86400
Phase 2
Encryption: AES256, 
Authentication: SHA256, 
Diffie-Hellman group: None, Lifetime (seconds): 28800

  • Po zmianie zasad należy pamiętać o zapisaniu zmian, klikając przycisk "Zapisz".

Uwaga: MacOS może wymagać wyższego szyfrowania i uwierzytelniania, gdzie AES256 i SHA256 działają świetnie z naszego doświadczenia.

Tworzenie użytkowników chmury Nebula

Organization-wide -> Organization-wide manage -> Cloud authentication
  • Kliknij "Dodaj" nowego użytkownika VPN
  • Wypełnij "Email", który może być używany do wysyłania poświadczeń, a także do logowania (jeśli wybrano).
  • Wypełnij pola "Nazwa użytkownika" i "Hasło".
  • Dostęp VPN - powinien być włączony, aby użytkownik VPN mógł uzyskać dostęp do VPN i pomyślnie uwierzytelnić się przy użyciu poświadczeń użytkownika.
  • Autoryzowane - wybierz witryny, do których chcesz zezwolić na dostęp.
  • Login by - wybierz, czy użytkownik może zalogować się do VPN / 802.1x za pomocą nazwy użytkownika, adresu e-mail, czy za pomocą jednego z nich.
  • Two-Factor Auth. -zaznacz pole, jeśli NIE chcesz, aby uwierzytelnianie dwuskładnikowe było ustawione dla tego użytkownika.
  • Email to user - wybierz, czy chcesz wysłać poświadczenia e-mailem do użytkownika.
  • Uwaga: za każdym razem, gdy naciśniesz przycisk "Zapisz" (lub "Utwórz użytkownika") po wprowadzeniu zmian, użytkownik otrzyma wiadomość e-mail. Jeśli więc zmienisz ustawienia dla tego użytkownika, możesz odznaczyć to pole, dopóki nie skończysz konfigurować użytkownika.

Dodatkowe ustawienia, o których warto wiedzieć:

  • Dynamic Personal Pre-shared Key (Professional Pack Feature) to dynamiczne zarządzanie hasłami dla WiFi (nie VPN), które może zwiększyć bezpieczeństwo użytkowników VPN i sieci. Tworzy unikalne hasło dla każdego użytkownika, dzięki czemu można go łatwiej odizolować w przypadku włamania.
  • 802.1X - W przypadku uwierzytelniania sieciowego (nie VPN) może to sprawić, że użytkownicy będą uwierzytelniać się za pomocą sieci 802.1x przy użyciu uwierzytelniania w chmurze Nebula.
  • Przypisanie VLAN - Przypisanie VLAN to funkcja Professional Pack, która konfiguruje statyczną sieć VLAN dla użytkownika po wejściu do sieci.

Konfiguracja klienta SecuExtender

  • Wyślij plik .tgb (konfiguracja VPN) przez e-mail
Site-wide -Configure Firewall -> Remote access VPN
  • Wyślij konfigurację VPN na swój adres e-mail, dodając swój adres e-mail (lub adresy e-mail użytkowników), a następnie kliknij "Dodaj nowy", jeśli go nie ma. Następnie kliknij "Wyślij e-mail" i sprawdź pocztę (oraz folder spamu).

  • Zainstaluj plik .tgb w SecuExtender.

mceclip4.png

  • Jeśli nie możesz wyświetlić wyskakującego okienka, otwórz SecuExtender na pulpicie, aby zobaczyć klienta SecuExtender IPsec VPN (okno pokazane na poniższym obrazku), a następnie ponownie otwórz plik .tgb z wiadomości e-mail.


  • Sprawdzanie połączenia

Po zaimportowaniu konfiguracji do klienta VPN, kliknij dwukrotnie na "RemoteAccessVPN", a następnie wprowadź "Login" i "Hasło" i kliknij "OK".

  • Jeśli napotkasz jakieś problemy, sprawdź dwukrotnie ustawienia fazy 1 i fazy 2 w SecuExtender i upewnij się, że masz takie samo szyfrowanie i uwierzytelnianie w ustawieniach Nebula IKEv2 VPN.

  • Wyłączanie dzielonego tunelowania

Jeśli masz problemy z całym ruchem przechodzącym przez tunel VPN (zarówno ruchem internetowym, jak i ruchem VPN), zapoznaj się z tym artykułem:

https://support.zyxel.eu/hc/en-us/articles/360001121480-Split-Tunneling-L2TP-IPSec-SecuExtender

  • Weryfikacja połączenia VPN

Po ustanowieniu połączenia VPN można je zweryfikować, otwierając okno wiersza polecenia (lub PowerShell) i wydając następujące polecenia.

  • ipconfig

To polecenie poda adres IP dla interfejsu VPN.

mceclip4.png

  • ping [remote_address]

To polecenie umożliwia wykonanie testu ping do urządzenia znajdującego się w sieci LAN bramy NebulaCC.

mceclip5.png

  • W NCC powinieneś być teraz w stanie zobaczyć dzienniki, które pokazują, że VPN działa poprawnie. Na poniższym zrzucie ekranu widać, że żądania trybu głównego dotarły do USG, faza 1 mogła zostać pomyślnie ustanowiona, a XAuth w Centrum sterowania Nebula działa poprawnie.

mceclip0.png

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 0 z 0
Udostępnij